Nguy cơ mất thông tin đăng nhập do Adobe Flash chưa update

Người dùng Chrome, IE10 và IE11 có thể yên tâm bởi trình duyệt của họ sẽ tự động cập nhật phiên bản mới nhất của Adobe Flash mới được tung ra cách đây một ngày, đồng nghĩa với việc máy tính được bảo vệ trước nguy cơ tấn công đánh cắp thông tin đăng nhập. Trong khi đó, người sử dụng Safari, các phiên bản IE cũ hơn IE10, FireFox và Opera nên nhanh chóng truy cập website của Adobe để download và cài đặt phiên bản mới nhất của Flash.

Update lần này của Flash bao gồm ba bản vá, trong đó có một bản vá quan trọng cần phải được cập nhật càng sớm càng tốt bởi công cụ khai thác lỗ hổng đã được Michele Spagnuolo, một kỹ sư an ninh thông tin của Google, công bố trước đó vài giờ.

Theo Spagnuolo, CVE-2014-4671 là một lỗ hổng giả mạo yêu cầu liên trang (CSRF). Nếu khai thác thành công, kẻ xấu có thể ăn trộm thông tin đăng nhập của người dùng đến một số website lớn như eBay, Instagram và Tumblr.

Rosetta Flash, công cụ khai thác của Spagnuolo, tạo nên các file .swf độc hại. Nếu dụ dỗ được người dùng truy cập website có các file .swf này, kẻ xấu có thể ăn cắp các cookie xác thực lưu trữ trên trình duyệt.

Không có gì ngạc nhiên khi Spagnoulo cảnh báo công ty của chính mình, Google, đầu tiên. Nhờ đó, Google đã có thể vá rất nhiều các dịch vụ lớn nhất của mình, bao gồm Maps, Accounts và YouTube trước khi Spagnuolo tung ra công cụ khai thác.

“Bởi tính “nhạy cảm” của lỗ hổng, tôi đã thông báo trong nội bộ Google trước khi gửi cảnh báo tới Adobe,” Spagnuolo phân trần. “Một vài ngày trước khi tung ra công cụ này, tôi cũng đã gửi cảnh báo tới Twitter, eBay, Tumblr và Instagram. Đến thời điểm hiện tại, Twitter đã khắc phục được lỗi này trên trang của mình”, Spagnuolo cho biết thêm.

Bản update của Adobe tăng cường khả năng xử lý file .swf độc hại do Rosetta Flash tạo ra. Cụ thể, phiên bản mới bổ sung kiểm tra xác thực nhằm đảm bảo Flash Player từ chối các nội dung độc hại từ kết quả xử lý của JSONP.